根據公司需要調整美國國家標準與技術研究所(NIST)的安全路線圖的可操作建議。

美國國家標準與技術研究所網絡安全框架( NIST CSF )第一版于2014年發布，旨在幫助各類組織機構加強自身網絡安全防御，最近更新到了1.1版。該框架是在奧巴馬總統授意下，由來自政府、學術界和各行各業的網絡安全專業人士編撰的，特朗普執政后納入了聯邦政府策略范疇。

盡管絕大多數公司企業都認識到了這項改善所有企業網絡安全的有益協作的價值，調整和實現該框架確實說起來容易做起來難。NIST CSF 的內容都是公開的，誰都可以查閱，此處不再贅述。這里要討論的，是可以幫助公司企業根據自身情況現實應用 NIST CSF 的五個步驟。

步驟 1：設定目標

在開始考慮實現 NIST CSF 之前，公司企業必須先著眼設置自己的目標。過程中遇到的第一個困難通常是在公司范圍內就風險承受水平達成一致。在風險的可接受水平由什么組成這個問題上，高級管理層和IT部門之間通常存在斷層。

首先，制訂一份關于治理的協議草案，明確到底哪種風險水平是可以接受的。在進行到下一步前所有人都必須就此達成共識。另外，規劃預算、設立實現優先級和需重點關注的部門也非常重要。

從公司里單個部門或少數幾個部門入手意義重大。你可以通過試運行了解到哪些方法有效而哪些是無用功，還可以為后續的廣泛部署發掘出正確的工具和最佳操作。試運行項目可以幫你構建更深入的實現，更精準地估測預算。

步驟 2：創建詳細的配置文件

下一步就是根據公司具體業務需求深挖并調適框架。NIST的框架實現層可以幫你了解自身當前位置和需要到達的地方。分為3個領域：

風險管理過程

集成風險管理項目

外部參與

與 NIST CSF 大部分內容一致，這些也不是一成不變的東西，可以根據公司具體需求來調整。你也可以將之歸類為人員、過程和工具，或者往框架中加上兩個自己的類別。

上述3個領域都有4個層次。

第1層 - 不全面的：一般表示一種不協調、不一致的反應式網絡安全站位。

第2層 - 風險指引型：有一些風險感知，但規劃還是一致的。

第3層 - 可重復的：表明覆蓋公司范圍的CSF標準和一致的策略。

第4層 - 自適應的：指的是主動式威脅檢測與預測。

層次越高，CSF標準的實現越完整，但最好調整這些層次以確保它們與自身目標相貼合。可以用自定義的層次來設置目標得分，但要確保在推進前征得所有利益相關者的同意。最有效的實現是針對具體公司和業務仔細調適過的那種。

步驟 3：評估當前狀態

前面2步走完，就到了執行細致的風險評估以建立自身當前狀態的時候了。最好既有具體職能部門的內部評估，又有針對整個公司的獨立評估。尋找能評測你目標領域的開源工具和商業軟件并訓練員工使用這些工具軟件，或者雇傭第三方來做風險評估。比如說，漏洞掃描器、CIS基線測試、網絡釣魚測試、行為分析等等。要確保的是，執行風險評估的人不知道你的目標得分是多少。

CSF實現團隊要在呈交給關鍵利益相關者之前收集并核對最終得分。評估過程的目的是讓公司明確了解自身運營(包括使命、職能、形象或聲譽)、資產和人員所面臨的安全風險。此過程應發現并完整記錄漏洞與威脅。

舉個例子，下面的圖表中，公司標出了3個職能領域：策略、網絡和應用。這些可能分布在混合云上，也可能被打散到不同環境以便能在更細致的層次上跟蹤——這種情況下需要另外考慮不同部門領導是否需對現場及云端部署負責。

左側熱度圖列出了不同CSF功能，可被擴展到任意粒度。采用4級量表，綠色表示一切OK，黃色代表該領域還需要做些工作，紅色說明尚需認真分析和校正。這里，出于跨業務部門核心小組比較評估分數的目的，“識別”核心功能被打散了。SME和核心得分是根據企業目標平均的，然后再計算風險缺口。缺口大說明需要加快修復。這張表中，該公司的“防護”和“響應”功能是最弱的。

步驟 4：缺口分析行動計劃

有了對風險和潛在業務影響的深入認知，便可以開展缺口分析了。要將自身實際得分與目標得分做對比，或許可以考慮采用熱度圖以直觀易懂的方式來呈現結果。任何顯著差異都會立即凸顯出你應加以關注的領域。

你得找出補足當前得分與目標得分間差距所需要完成的工作，發現一系列可以用來提升得分的動作，并與所有關鍵利益相關者商討執行這些動作的優先順序。具體項目要求、預算考量和人員配備水平可能都會影響到你的計劃。

步驟 5：實現行動計劃

上面4步為你帶來了自身防御現狀的清晰圖景、一套貼合公司情況的目標、全面的缺口分析和一系列修復動作，于是你終于走到了實現 NIST CSF 這一步。將你的第一次實現當做為后續廣泛實現記錄過程和創建培訓資料的機會。

行動計劃的實現并不是終結，你還需設置標準來測試其有效性，并不斷重新評估該框架以確保符合預期。這里面就應包含持續的迭代和與關鍵決策者進行驗證的過程。為收獲最大益處，你需要精煉實現過程，進一步校正 NIST CSF，使其更加貼合你的業務需求。